一.?? 使用su 命令臨時切換用戶身份
1���、su 的適用條件和威力
su命令就是切換用戶的工具,怎么理解呢��?比如我們以普通用戶beinan登錄的�,但要添加用戶任務(wù),執(zhí)行useradd ��,beinan用戶沒有這個權(quán)限��,而這個權(quán)限恰恰由root所擁有��。解決辦法無法有兩個��,一是退出beinan用戶����,重新以root用戶登錄,但這種辦法并不是最好的�;二是我們沒有必要退出beinan用戶��,可以用su來切換到root下進行添加用戶的工作,等任務(wù)完成后再退出root�。我們可以看到當(dāng)然通過su 切換是一種比較好的辦法;
通過su可以在用戶之間切換�����,如果超級權(quán)限用戶root向普通或虛擬用戶切換不需要密碼�,什么是權(quán)力?這就是��!而普通用戶切換到其它任何用戶都需要密碼驗證����;
2、su 的用法:
su [OPTION選項參數(shù)] [用戶]
-, -l, --login 登錄并改變到所切換的用戶環(huán)境����;
-c, --commmand=COMMAND 執(zhí)行一個命令,然后退出所切換到的用戶環(huán)境�;
至于更詳細的,請參看man su ��;
3����、su 的范例:
su 在不加任何參數(shù)�,默認為切換到root用戶�����,但沒有轉(zhuǎn)到root用戶家目錄下��,也就是說這時雖然是切換為root用戶了�,但并沒有改變root登錄環(huán)境;用戶默認的登錄環(huán)境��,可以在/etc/passwd 中查得到�����,包括家目錄�,SHELL定義等;
[beinan@localhost ~]?$ su Password: [root@localhost beinan]# pwd /home/beinan
su 加參數(shù) - �,表示默認切換到root用戶,并且改變到root用戶的環(huán)境��;
[beinan@localhost ~]?$ pwd /home/beinan [beinan@localhost ~]?$ su - Password: [root@localhost ~]# pwd /root
su 參數(shù) - 用戶名
$ su - root 注:這個和su - 是一樣的功能��;?[beinan@localhost ~]
Password:
[root@localhost ~]# pwd
/root
$ su - linuxsir 注:這是切換到?[beinan@localhost ~] linuxsir用戶
Password: 注:在這里輸入密碼;
$ pwd 注:查看用戶當(dāng)前所處的位置���;?[linuxsir@localhost ~]
/home/linuxsir
$ id?[linuxsir@localhost ~] 注:查看用戶的UID和GID信息����,主要是看是否切換過來了�����;
uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)
$?[linuxsir@localhost ~]
$ su - -c ls?[beinan@localhost ~] 注:這是su的參數(shù)組合���,表示切換到root用戶,并且改變到root環(huán)境����,然后列出root家目錄的文件,然后退出root用戶����;
Password: 注:在這里輸入root的密碼;
anaconda-ks.cfg Desktop install.log install.log.syslog testgroup testgroupbeinan testgrouproot
$ pwd 注:查看當(dāng)前用戶所處的位置�����;?[beinan@localhost ~]
/home/beinan
$ id 注:查看當(dāng)前用戶信息����;?[beinan@localhost ~]
uid=500(beinan) gid=500(beinan) groups=500(beinan)
4�、su的優(yōu)缺點��;
su 的確為管理帶來方便�����,通過切換到root下�����,能完成所有系統(tǒng)管理工具�,只要把root的密碼交給任何一個普通用戶,他都能切換到root來完成所有的系統(tǒng)管理工作�;但通過su切換到root后,也有不安全因素�;比如系統(tǒng)有10個用戶,而且都參與管理�。如果這10個用戶都涉及到超級權(quán)限的運用,做為管理員如果想讓其它用戶通過su來切換到超級權(quán)限的root���,必須把root權(quán)限密碼都告訴這10個用戶�;如果這10個用戶都有root權(quán)限,通過root權(quán)限可以做任何事�����,這在一定程度上就對系統(tǒng)的安全造成了威協(xié)��;想想Windows吧�,簡直就是惡夢;"沒有不安全的系統(tǒng)��,只有不安全的人"����,我們絕對不能保證這 10個用戶都能按正常操作流程來管理系統(tǒng)����,其中任何一人對系統(tǒng)操作的重大失誤,都可能導(dǎo)致系統(tǒng)崩潰或數(shù)據(jù)損失��;所以su 工具在多人參與的系統(tǒng)管理中��,并不是最好的選擇����,su只適用于一兩個人參與管理的系統(tǒng),畢竟su并不能讓普通用戶受限的使用;超級用戶root密碼應(yīng)該掌握在少數(shù)用戶手中��,這絕對是真理���!所以集權(quán)而治的存在還是有一定道理的�;
二. sudo 授權(quán)許可使用的su��,也是受限制的su
1. sudo 的適用條件
由于su 對切換到超級權(quán)限用戶root后�,權(quán)限的無限制性,所以su并不能擔(dān)任多個管理員所管理的系統(tǒng)����。如果用su 來切換到超級用戶來管理系統(tǒng),也不能明確哪些工作是由哪個管理員進行的操作���。特別是對于服務(wù)器的管理有多人參與管理時��,最好是針對每個管理員的技術(shù)特長和管理范圍����,并且有針對性的下放給權(quán)限�����,并且約定其使用哪些工具來完成與其相關(guān)的工作,這時我們就有必要用到 sudo�����。
通過sudo���,我們能把某些超級權(quán)限有針對性的下放��,并且不需要普通用戶知道 root密碼�����,所以sudo 相對于權(quán)限無限制性的su來說��,還是比較安全的����,所以sudo 也能被稱為受限制的su ����;另外sudo 是需要授權(quán)許可的�����,所以也被稱為授權(quán)許可的su;
sudo 執(zhí)行命令的流程是當(dāng)前用戶切換到root(或其它指定切換到的用戶)�,然后以root(或其它指定的切換到的用戶)身份執(zhí)行命令,執(zhí)行完成后����,直接退回到當(dāng)前用戶;而這些的前提是要通過sudo的配置文件/etc/sudoers來進行授權(quán)��;
2��、從編寫 sudo 配置文件/etc/sudoers開始
sudo的配置文件是/etc/sudoers ��,我們可以用他的專用編輯工具visodu ���,此工具的好處是在添加規(guī)則不太準確時�,保存退出時會提示給我們錯誤信息���;配置好后�����,可以用切換到您授權(quán)的用戶下�,通過sudo -l 來查看哪些命令是可以執(zhí)行或禁止的��;
/etc/sudoers 文件中每行算一個規(guī)則,前面帶有#號可以當(dāng)作是說明的內(nèi)容�����,并不執(zhí)行��;如果規(guī)則很長�����,一行列不下時���,可以用\號來續(xù)行�,這樣看來一個規(guī)則也可以擁有多個行�;
/etc/sudoers 的規(guī)則可分為兩類;一類是別名定義�,另一類是授權(quán)規(guī)則;別名定義并不是必須的��,但授權(quán)規(guī)則是必須的���;
3、/etc/sudoers 配置文件中別名規(guī)則
別名規(guī)則定義格式如下:
Alias_Type NAME = item1, item2, ...
或
Alias_Type NAME = item1, item2, item3 : NAME = item4, item5
別名類型(Alias_Type):別名類型包括如下四種
Host_Alias 定義主機別名����;
User_Alias 用戶別名���,別名成員可以是用戶,用戶組(前面要加%號)
Runas_Alias 用來定義runas別名��,這個別名指定的是"目的用戶"��,即sudo 允許切換至的用戶�;
Cmnd_Alias 定義命令別名;
NAME 就是別名了�����,NMAE的命名是包含大寫字母�、下劃線以及數(shù)字,但必須以一個大寫字母開頭����,比如SYNADM、SYN_ADM或SYNAD0是合法的�,sYNAMDA或1SYNAD是不合法的;
item 按中文翻譯是項目���,在這里我們可以譯成成員�,如果一個別名下有多個成員,成員與成員之間����,通過半角,號分隔;成員在必須是有效并事實存在的��。什么是有效的呢���?比如主機名�,可以通過w查看用戶的主機名(或ip地址)��,如果您只是本地機操作��,只通過hostname 命令就能查看���;用戶名當(dāng)然是在系統(tǒng)中存在的����,在/etc/paswd中必須存在�;對于定義命令別名,成員也必須在系統(tǒng)中事實存在的文件名(需要絕對路徑)�;
item成員受別名類型 Host_Alias、User_Alias����、Runas_Alias、Cmnd_Alias 制約��,定義什么類型的別名����,就要有什么類型的成員相配。我們用Host_Alias定義主機別名時�,成員必須是與主機相關(guān)相關(guān)聯(lián),比如是主機名(包括遠程登錄的主機名)�、ip地址(單個或整段)、掩碼等����;當(dāng)用戶登錄時,可以通過w命令來查看登錄用戶主機信息��;用User_Alias和 Runas_Alias定義時��,必須要用系統(tǒng)用戶做為成員��;用Cmnd_Alias 定義執(zhí)行命令的別名時���,必須是系統(tǒng)存在的文件��,文件名可以用通配符表示�,配置Cmnd_Alias時命令需要絕對路徑;其中 Runas_Alias 和User_Alias 有點相似����,但與User_Alias 絕對不是同一個概念,Runas_Alias 定義的是某個系統(tǒng)用戶可以sudo 切換身份到Runas_Alias 下的成員����;我們在授權(quán)規(guī)則中以實例進行解說;別名規(guī)則是每行算一個規(guī)則���,如果一個別名規(guī)則一行容不下時����,可以通過\來續(xù)行��;同一類型別名的定義�����,一次也可以定義幾個別名�,他們中間用:號分隔,
#p#副標題#e#
Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24 注:定義主機別名HT01,通過=號列出成員
Host_Alias HT02=st09,st10 注:主機別名HT02�,有兩個成員;
Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24:HT02=st09,st10 注:上面的兩條對主機的定義��,可以通過一條來實現(xiàn)���,別名之間用:號分割;
注:我們通過Host_Alias 定義主機別名時��,項目可以是主機名�、可以是單個ip(整段ip地址也可以),也可以是網(wǎng)絡(luò)掩碼��;如果是主機名��,必須是多臺機器的網(wǎng)絡(luò)中�����,而且這些機器得能通過主機名相互通信訪問才有效�����。那什么才算是通過主機名相互通信或訪問呢�?比如 ping 主機名,或通過遠程訪問主機名來訪問。在我們局域網(wǎng)中�,如果讓計算機通過主機名訪問通信,必須設(shè)置/etc/hosts����, /etc/resolv.conf ,還要有DNS做解析��,否則相互之間無法通過主機名訪問�����;在設(shè)置主機別名時�,如果項目是中某個項目是主機名的話,可以通過hostname 命令來查看本地主機的主機名���,通過w命令查來看登錄主機是來源�����,通過來源來確認其它客戶機的主機名或ip地址����;對于主機別名的定義����,看上去有點復(fù)雜���,其實是很簡單。
關(guān)鍵詞標簽:su,sudo
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程